Informacja RODO - Vezpa PMS

1. Wprowadzenie i zakres zastosowania

Niniejsza informacja opisuje, w jaki sposob Vezpa di Paolo Vezzola (dalej "Vezpa" lub "My") przetwarza dane osobowe zgodnie z:

Rozporzadzenie UE 2016/679 (RODO)
Wloskim Dekretem Ustawodawczym 196/2003 (wloski Kodeks prywatnosci) zmienionym przez D.Lgs. 101/2018
Decyzjami i wytycznymi wloskiego organu ochrony danych (Garante)

1.1 Do kogo ma zastosowanie

Niniejsza informacja ma zastosowanie do:

👤 Zarzadcow obiektow noclegowych korzystajacych z Vezpa (klienci bezposredni)
🏨 Gosci przebywajacych w obiektach korzystajacych z Vezpa
👔 Partnerow handlowych i dostawcow
🌐 Odwiedzajacych strone vezpa.it

1.2 Podwojna rola Vezpa

Vezpa pelni dwie rozne role:

ADMINISTRATOR DANYCH W odniesieniu do danych zarzadcow obiektow (klientow)
PODMIOT PRZETWARZAJACY W odniesieniu do danych gosci (przetwarzamy dane na polecenie zarzadcy obiektu)

2. Tozsamosc i dane kontaktowe Administratora

Administrator danych:

Vezpa di Paolo Vezzola
Siedziba: Desenzano del Garda (BS), 25015, via San Zeno 67
NIP (P.IVA): 04449070988
Kod podatkowy (C.F.): VZZPLA84C10D284C
PEC: [email protected]
Email: [email protected]

3. Kategorie przetwarzanych danych osobowych

3.1 Dane zarzadcow (klientow)

Kategoria	Rodzaj danych	Obowiazkowosc
Dane identyfikacyjne	Imie, nazwisko, data urodzenia, kod podatkowy	✅ Obowiazkowe
Dane kontaktowe	Email, telefon, adres	✅ Obowiazkowe
Dane firmowe	Nazwa spolki, NIP, dane obiektu	✅ Obowiazkowe
Dane platnicze	IBAN, karta kredytowa (przez Stripe)	✅ Obowiazkowe dla subskrypcji
Dane uzytkowania	Logi dostepu, IP, aktywnosc na platformie	⚙️ Automatyczne
Dane komunikacji	Email, czat wsparcia, zgloszenia	📝 Dobrowolne

3.2 Dane gosci (jako Podmiot przetwarzajacy)

Kategoria	Rodzaj danych	Podstawa prawna (Administratora)
Dane osobowe	Imie, nazwisko, data i miejsce urodzenia, obywatelstwo, plec	Obowiazek prawny (wloska ustawa TULPS, art. 109 i rownowazne przepisy UE)
Dokument tozsamosci	Rodzaj, numer, data wydania, organ, obraz skanowany lub fotografowany	Obowiazek prawny
Ekstrakcja OCR	Dane tekstowe wyodrebnione automatycznie z dokumentu (imie, data, numer)	Wykonanie umowy (art. 6 ust. 1 lit. b) - wylacznie w celu ulatwienia wprowadzania danych
Dane kontaktowe	Email, telefon, adres	Wykonanie umowy
Dane rezerwacji	Daty pobytu, liczba gosci, pokoj, stawki, wyzywienie	Wykonanie umowy
Dane platnicze	Transakcje, pokwitowania (dane karty obslugiwane przez Stripe, nie przechowywane przez Vezpa)	Wykonanie umowy + obowiazek podatkowy

⚠️ Dane szczegolne (art. 9 RODO):

Pobierane dokumenty tozsamosci moga zawierac elementy kwalifikowane jako "szczegolne" w rozumieniu art. 9 RODO, zazwyczaj:

Miejsce urodzenia (z ktorego mozna wywnioskowac pochodzenie etniczne)
Zdjecie twarzy (nie uzywane do zautomatyzowanego rozpoznawania biometrycznego)

Legalnosc przetwarzania: art. 9 ust. 2 lit. b (wypelnianie obowiazkow w dziedzinie prawa pracy, bezpieczenstwa i ochrony socjalnej), art. 9 ust. 2 lit. g (wazny interes publiczny - rejestracja dla bezpieczenstwa publicznego) i art. 9 ust. 2 lit. f (ustalanie praw). Cele ograniczone do obowiazkow nalozonych przez prawo wobec organow publicznych.

Srodki dodatkowe: dostep ograniczony wylacznie do autoryzowanych rol (dyrektor, asystent), brak profilowania na podstawie takich danych, brak przekazywania osobom trzecim poza organami publicznymi bedacymi adresatami.

Vezpa nie zbiera celowo innych danych szczegolnych (poglady polityczne/religijne, dane zdrowotne, dane genetyczne, orientacja seksualna). Jesli takie dane zostana wprowadzone przez pomylke, nalezy je natychmiast usunac.

4. Cele i podstawa prawna przetwarzania

4.1 Dla zarzadcow (klientow)

Cel	Podstawa prawna (art. 6 RODO)	Przechowywanie
Swiadczenie uslugi PMS	Art. 6 ust. 1 lit. b - Wykonanie umowy	Okres trwania umowy + 10 lat
Fakturowanie i ksiegowosc	Art. 6 ust. 1 lit. c - Obowiazek prawny	10 lat (obowiazek podatkowy)
Obsluga klienta	Art. 6 ust. 1 lit. b - Wykonanie umowy	Okres trwania umowy + 2 lata
Bezpieczenstwo i zapobieganie oszustwom	Art. 6 ust. 1 lit. f - Prawnie uzasadniony interes	5 lat
Ulepszanie uslugi	Art. 6 ust. 1 lit. f - Prawnie uzasadniony interes	2 lata (dane zagregowane anonimowe)
Marketing bezposredni	Art. 6 ust. 1 lit. a - Zgoda	Do wycofania zgody
Obrona praw w postepowaniu	Art. 6 ust. 1 lit. f - Prawnie uzasadniony interes	10 lat

4.2 Dla gosci (na polecenie zarzadcy)

Cel	Podstawa prawna	Przechowywanie
Rejestracja gosci i komunikacja z Policja	Art. 6 ust. 1 lit. c - Obowiazek prawny (wloska ustawa TULPS, art. 109, D.Lgs. 159/2011)	Minimum 2 lata
Zgloszenia ISTAT	Art. 6 ust. 1 lit. c - Obowiazek prawny	Zgodnie z przepisami ISTAT
Oplata turystyczna (Paytourist)	Art. 6 ust. 1 lit. c - Obowiazek prawny	Zgodnie z przepisami gminnymi
Zarzadzanie rezerwacja i pobytem	Art. 6 ust. 1 lit. b - Wykonanie umowy	10 lat (cele podatkowe)
Zameldowanie online i komunikacja	Art. 6 ust. 1 lit. b - Wykonanie umowy	Okres pobytu + okres przechowywania obiektu

📌 Uwaga dotyczaca zgody:

Dla wielu dzialan NIE jest wymagana zgoda, poniewaz opieraja sie na:

✅ Wykonaniu umowy (to Panstwo zlecili usluge)
✅ Obowiazkach prawnych (obowiazkowa komunikacja z organami)
✅ Prawnie uzasadnionym interesie (bezpieczenstwo, ulepszanie uslugi)

Zgoda jest wymagana WYLACZNIE dla marketingu i profilowania.

5. Sposob przetwarzania

5.1 Zasady przetwarzania (art. 5 RODO)

Vezpa przetwarza dane osobowe z poszanowaniem nastepujacych zasad:

✅ Zgodnosc z prawem, rzetelnosc, przejrzystosc: przetwarzamy dane zgodnie z prawem i jasno informujemy
✅ Ograniczenie celu: uzywamy danych wylacznie do zadeklarowanych celow
✅ Minimalizacja danych: zbieramy wylacznie scisle niezbedne dane
✅ Prawidlowosc: utrzymujemy dane aktualne i dokladne
✅ Ograniczenie przechowywania: przechowujemy dane wylacznie przez niezbedny czas
✅ Integralnosc i poufnosc: chronimy dane odpowiednimi srodkami bezpieczenstwa
✅ Rozliczalnosc (accountability): jestesmy w stanie wykazac zgodnosc z RODO

5.2 Srodki przetwarzania

Dane sa przetwarzane za pomoca narzedzi:

💻 Informatycznych: serwery, bazy danych, aplikacje web/mobile
📄 Papierowych: wylacznie dla niezbednych dokumentow (umowy, faktury)

5.3 Sposob dostepu

Dane sa dostepne dla:

👥 Autoryzowanego personelu Vezpa (z osobistymi danymi dostepowymi)
🔐 Dostep oparty na zasadzie "need to know" (najmniejszych uprawnien)
📝 Logi dostepu sledzone i monitorowane

6. Srodki bezpieczenstwa (art. 32 RODO)

6.1 Srodki techniczne

✅ Szyfrowanie w tranzycie: HTTPS/TLS 1.2+ dla wszystkich polaczen, HSTS

✅ Szyfrowanie at-rest: konkretne dane wrazliwe szyfrowane przez django-cryptography; woluminy zarzadzane i snapshoty szyfrowane po stronie infrastruktury (DigitalOcean)

✅ Hashowanie hasel: PBKDF2 (domyslnie Django) z losowa sola

✅ Tokeny: JWT access token TTL 15 minut, refresh z rotacja i czarna lista, TTL 180 dni

✅ 2FA TOTP dostepne na koncie (django-otp)

✅ Bot blocker i rate limiting: dedykowane middleware blokujace skanery i znane sciezki ataku

✅ Kopie zapasowe: snapshoty bazy danych zarzadzane przez dostawce infrastruktury, lokalizacja UE

✅ Kontrola dostepu oparta na rolach (RBAC): dyrektor, asystent, pokojowa, obserwator

✅ Logowanie aplikacyjne: sledzenie dostepu, dzialan krytycznych i anomalii

✅ Aktualizacja zaleznosci: monitorowanie podatnosci w pakietach Python i Flutter

6.2 Srodki organizacyjne

✅ Dostep administracyjny ograniczony do Administratora (Vezpa jest obecnie jednoosobowa dzialalnoscia gospodarcza bez pracownikow); ewentualni wspolpracownicy zewnetrzni sa wyznaczani na pismie jako Podmioty przetwarzajace lub Osoby upowaznione

✅ Procedura reakcji na incydenty udokumentowana (§9 infra)

✅ Privacy by Design and by Default zintegrowane w fazach rozwoju

✅ Rejestr czynnosci przetwarzania (art. 30 RODO) prowadzony i aktualizowany

✅ DPA podpisane ze wszystkimi glownymi dalszymi podmiotami przetwarzajacymi

✅ Publiczna lista dalszych podmiotow przetwarzajacych aktualizowana na vezpa.it/subprocessors

6.3 Standardy odniesienia

🏆 Serwery UE: infrastruktura podstawowa DigitalOcean region Frankfurt (FRA1)
🏆 PCI-DSS: platnosci obslugiwane przez Stripe, certyfikowany PCI-DSS Level 1 (Vezpa nie przechowuje danych karty)
🏆 Certyfikowani dostawcy: gdzie ma zastosowanie (ISO 27001, SOC 2, DPF) — zob. strona dalszych podmiotow przetwarzajacych

7. Odbiorcy danych (art. 13 ust. 1 lit. e RODO)

7.1 Kategorie odbiorcow

Dane moga byc przekazywane nastepujacym kategoriom odbiorcow. Lista imienna i zawsze aktualizowana jest publikowana na vezpa.it/subprocessors.

Kategoria	Odbiorcy	Rola	Cel
Wloskie organy publiczne	AlloggiatiWeb (Policja), ISTAT, Gminy (PayTourist), Agencja Przychodow	Administratorzy samodzielni	Obowiazek prawny
Organy publiczne UE	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Administratorzy samodzielni	Obowiazek prawny Administratora (obiektu)
Hosting / Storage / CDN	DigitalOcean LLC (serwery Frankfurt, Spaces, Redis)	Podmiot przetwarzajacy	Infrastruktura IT
Platnosci	Stripe Payments Europe Ltd / Stripe Inc.	Podmiot przetwarzajacy	Przetwarzanie platnosci
Email	IONOS SE (DE)	Podmiot przetwarzajacy	Wysylka e-maili transakcyjnych i PEC
Powiadomienia push mobile	Google LLC (Firebase Cloud Messaging)	Podmiot przetwarzajacy	Wysylka powiadomien push do urzadzen mobilnych
Channel Manager OTA	STAAH Limited (Nowa Zelandia)	Podmiot przetwarzajacy	Synchronizacja rezerwacji z OTA
Zakupy w aplikacji — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Administrator samodzielny (store)	Zarzadzanie subskrypcjami App Store. Apple nie przystepuje do DPF: przekazywanie do USA regulowane przez SCC 2021/914
Zakupy w aplikacji — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Administratorzy samodzielni (store)	Zarzadzanie subskrypcjami Play Store / Microsoft Store
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda i okolo 55 innych kanalow	Administratorzy samodzielni	Zarzadzanie rezerwacjami wobec podroznego
Inteligentne zamki (opcjonalnie)	Tuya Smart (CN)	Podmiot przetwarzajacy	Zarzadzanie dostepem domotycznym, wylacznie gdy aktywowane przez obiekt
Specjalisci	Ksiegowi, adwokaci, doradcy IT	Podmioty przetwarzajace / Administratorzy samodzielni	Konsultacje specjalistyczne, wylacznie gdy konieczne

7.2 Lista dalszych podmiotow przetwarzajacych (art. 28 ust. 4 RODO)

Aktualna lista jest publikowana i zawsze dostepna na vezpa.it/subprocessors. Ewentualne zmiany (nowe dalsze podmioty przetwarzajace, zastapienia) sa komunikowane Administratorom (obiektom) z wyprzedzeniem co najmniej 30 dni, aby umozliwic sprzeciw (art. 28 ust. 2 RODO).

7.3 Przekazywanie poza UE

Podstawa prawna przekazywania (Rozdzial V RODO):

USA — EU-U.S. Data Privacy Framework (Decyzja (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — aktywne certyfikacje DPF (weryfikacja na dataprivacyframework.gov/list)
USA — Standardowe Klauzule Umowne (SCC 2021/914): Apple Inc. nie przystepuje do DPF; relacja umowna dla uzytkownikow UE jest z Apple Distribution International Ltd (Irlandia), a ewentualne przekazywanie wewnatrz grupy Apple do USA jest regulowane przez SCC i wewnetrzne mechanizmy adekwatnosci
Nowa Zelandia — Decyzja o adekwatnosci (Decyzja 2013/65/UE): STAAH Limited
Chiny (opcjonalnie): Tuya Smart — Standardowe Klauzule Umowne (SCC) 2021/914 + srodki uzupelniajace (minimalizacja i pseudonimizacja). Przekazywanie realizowane wylacznie dla obiektow aktywujacych inteligentne zamki.

Dla kazdego dalszego podmiotu przetwarzajacego poza UE udokumentowany jest odpowiedni mechanizm przekazywania. SCC i ewentualne Transfer Impact Assessment sa dostepne dla Administratora na zadanie.

8. Prawa osoby, ktorej dane dotycza (art. 15-22 RODO)

8.1 Prawa do wykonania

Prawo	Art. RODO	Opis
Dostep	Art. 15	Uzyskanie potwierdzenia istnienia Panstwa danych i otrzymanie ich kopii
Sprostowanie	Art. 16	Poprawienie nieprawidlowych danych lub ich uzupelnienie
Usuniecie ("zapomnienie")	Art. 17	Uzyskanie usuniecia danych (z wyjatkami dla obowiazkow prawnych)
Ograniczenie	Art. 18	Ograniczenie przetwarzania w okreslonych warunkach
Przenoszenie	Art. 20	Otrzymanie danych w ustrukturyzowanym formacie (CSV, JSON) i przeniesienie do innego administratora
Sprzeciw	Art. 21	Sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie
Odwolanie zgody	Art. 7 ust. 3	Wycofanie zgody na marketing w kazdej chwili
Skarga	Art. 77	Wniesienie skargi do organu ochrony danych
Brak zautomatyzowanego profilowania	Art. 22	Niebycie przedmiotem decyzji opartych wylacznie na zautomatyzowanym przetwarzaniu

8.2 Jak wykonywac prawa

Moga Panstwo wykonac swoje prawa poprzez:

📧 Email: [email protected]
📧 PEC: [email protected]
📮 List polecony za potwierdzeniem odbioru: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Strefa zastrzezona: Sekcja "Prywatnosc i dane" w panelu sterowania (dla niektorych praw)

8.3 Czasy odpowiedzi

Vezpa odpowiada na wnioski w ciagu 30 dni od otrzymania (moze byc przedluzony o kolejne 60 dni w zlozonych przypadkach, z uzasadnionym powiadomieniem).

8.4 Ograniczenia praw

Niektore prawa (usuniecie, ograniczenie) moga nie byc wykonalne, gdy:

⚖️ Istnieja obowiazki prawne zobowiazujace nas do przechowywania danych
⚖️ Dane sa niezbedne do obrony praw w postepowaniu sadowym
⚖️ Przewaza interes publiczny

9. Data breach i powiadomienia (art. 33-34 RODO)

9.1 Procedura w przypadku naruszenia danych

W przypadku data breach (naruszenia danych osobowych) Vezpa:

📊 Ocenia incydent w ciagu 24 godzin od wykrycia
📢 Powiadamia organ ochrony danych w ciagu 72 godzin (jesli istnieje ryzyko dla praw osob)
📧 Komunikuje osobom zainteresowanym bez nieuzasadnionej zwloki (jesli wysokie ryzyko)
📝 Dokumentuje incydent w rejestrze naruszen
🔧 Wprowadza srodki naprawcze, aby zapobiec przyszlym naruszeniom

9.2 Przejrzystosc

W przypadku data breach dotyczacego Panstwa otrzymaja Panstwo komunikat zawierajacy:

Natura naruszenia
Dane dotkniete
Mozliwe konsekwencje
Srodki podjete i zalecane
Kontakty do Biura Prywatnosci

10. Data Protection Impact Assessment (DPIA)

Vezpa rozpoczela Ocene skutkow dla ochrony danych (DPIA) zgodnie z art. 35 RODO, majac na uwadze systematyczne przetwarzanie dokumentow tozsamosci osob z wielu panstw UE oraz przekazywanie do dalszych podmiotow przetwarzajacych poza UE.

Zakres DPIA:

Przetwarzanie danych osobowych i dokumentow tozsamosci gosci poprzez wiele lacznikow rzadowych
Przeplywy do channel managerow OTA i przekazywanie poza UE
Automatyczny OCR na obrazach dokumentow
Integracja z uslugami uwierzytelniania biometrycznego po stronie urzadzenia

DPIA i ewentualne dodatkowe srodki lagodzace sa okresowo aktualizowane. W przypadku wysokiego ryzyka resztkowego Vezpa przeprowadzi uprzednie konsultacje z organem ochrony danych zgodnie z art. 36 RODO. Administrator (obiekt) moze zazadac streszczenia DPIA, piszac na [email protected].

11. Podmiot przetwarzajacy (art. 28 RODO)

11.1 Umowy z klientami (dla danych gosci)

Gdy zarzadca obiektu korzysta z Vezpa do przetwarzania danych gosci:

Zarzadca jest Administratorem danych
Vezpa jest Podmiotem przetwarzajacym
Zawierana jest Umowa powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO

11.2 Zawartosc DPA

Umowa powierzenia przetwarzania danych zawiera, zgodnie z art. 28 ust. 3 RODO:

📋 Przedmiot i okres przetwarzania
📋 Natura i cel przetwarzania
📋 Rodzaj danych osobowych i kategorie osob
📋 Obowiazki i prawa Administratora
📋 Udokumentowane instrukcje dotyczace przetwarzania
📋 Wdrozone srodki bezpieczenstwa
📋 Upowaznieni dalsi podmioci przetwarzajacy z zawiadomieniem o zastapieniu
📋 Pomoc Administratorowi w zakresie praw osob, DPIA i data breach
📋 Obowiazki usuniecia lub zwrotu po zakonczeniu

DPA jest integralna czescia Regulaminu i jest akceptowana przy rejestracji obiektu.

12. Privacy by Design i by Default (art. 25 RODO)

12.1 Privacy by Design

Vezpa integruje ochrone danych juz na etapie projektowania:

🔒 Natywne szyfrowanie we wszystkich komunikacjach
🔒 Pseudonimizacja gdzie mozliwa
🔒 Minimalizacja zbieranych danych
🔒 Szczegolowe kontrole dostepu
🔒 Kompletny audit trail wszystkich operacji

12.2 Privacy by Default

Ustawienia domyslne maksymalizuja prywatnosc:

✅ Wylacznie scisle niezbedne dane sa obowiazkowe
✅ Automatyczne przechowywanie przez minimalny okres prawny
✅ Marketing opt-in (nie opt-out)
✅ Widocznosc danych ograniczona do niezbednego minimum

13. Rejestr czynnosci przetwarzania (art. 30 RODO)

Vezpa prowadzi kompletny rejestr wszystkich czynnosci przetwarzania, zawierajacy:

Imie i dane kontaktowe administratora i IOD
Cele przetwarzania
Opis kategorii osob i danych
Kategorie odbiorcow
Przekazywanie do panstw trzecich
Przewidywane okresy przechowywania
Opis srodkow bezpieczenstwa

Rejestr jest dostepny na zadanie organu ochrony danych.

14. Zmiany informacji

Niniejsza informacja moze byc zmieniana z powodu:

Ewolucji przepisow
Nowych funkcjonalnosci uslugi
Zmian organizacyjnych

Istotne zmiany beda komunikowane emailem z co najmniej 30-dniowym wyprzedzeniem.

Data ostatniej aktualizacji jest zawsze wskazana na gorze dokumentu.